监控共享文件

监控共享文件

    由于经费等多种原因的限制，不少办公室的电脑是多人合用的，本地用户经常需要相互共享文件。出于保密等多方面的原因，不少文件往往要求只能查看不能修改，或者只允许特定用户修改或查看，此时使用一般的“共享文件夹”显然行不通。那作为网络管理员，如何满足网络内用户们的这种需要呢？利用NTFS的安全特性就能做到这一点。利用它为文件（文件夹）设置访问权限和审核，不仅可以限制用户非法使用文件，还能了解文件曾被哪些用户访问，在使用方便和保证安全之间取得最佳平衡。

    使用高级文件共享

    Windows XP默认是采用“简单文件共享”，这种方式无法实现上述安全要求。如果你需要为用户分配文件访问权限，或者启用文件访问的“审核”功能，就应该使用Windows XP的“高级文件共享”。

    1．关闭简单文件共享

    要使用文件（文件夹）的高级文件共享，必须关闭系统默认的简单文件共享。你只要单击“控制面板”中的“文件夹选项”，打开“文件夹选项”对话框中的“查看”选项卡，取消“高级设置”下的“使用简单文件共享（推荐）”即可。

    2．创建用户和组

    为了对用户的访问权限进行控制，高级文件共享要求创建用户和组。如果需要创建的用户较多，可以在Windows XP“控制面板”中打开“管理工具”窗口，使用其中的“计算机管理”打开同名窗口。选中左窗格“本地用户和组”下面的“用户”，然后鼠标在右窗格中右击，选择快捷菜单中的“新用户”命令打开对话框，就可以输入名称和密码等为用户建立账号了，默认其隶属于“USers”组，重复上述过程就可以建立多个用户账号。当然，使用“控制面板”中的“用户账户”同样可以建立用户，具体方法就不在这里叙述了。
为了简化用户权限的管理，最好将权限相同的用户放入一个组。此时必须按上面介绍的方法打开“计算机管理”窗口，选中左窗格“本地用户和组”下面的“组”，然后在右窗格中的空白处右击，选择快捷菜单的“新建组”命令打开对话框。首先输入“组名”和相关的描述，然后单击“添加”按钮打开“添加用户”对话框。你只须单击“高级”和“立即查找”按钮，对话框下面就可以列出系统中的所有用户。选中要添加到这个组的用户名称，连续两次单击“确定”就可以完成操作了。

    文件权限管理

    假如办公电脑中的多个文档只允许他人观看，文件所有者却能够任意修改。可以采用以下步骤给它们设置只读权限。

    1．添加用户或组

    使用系统管理员身份登录系统，在Windows XP的NTFS分区中建立一个文件夹，将需要设置只读权限的文档放入其中，右击文件夹选择快捷菜单中的“属性”命令，打开“XXX属性”对话框中的“安全”选项卡。观察需要授予“只读”权限的组或用户名称是否出现在选项卡中。如果这个组或用户名称不在选项卡内，可以单击选项卡中的“添加”按钮打开对话框。假如你要设置“只读访问用户”组的“只读”权限，可以在对话框的“输入对象名称来选择”框内输入“只读访问用户”，单击“检查名称”按钮就可以看到其名称出现在其中。如果你记不清组或用户的名称，也可以单击对话框中的“高级”按钮打开“选择用户或组”对话框，再单击其中的“立即查找”按钮即可列出本机的所有用户或组，选中需要设置权限的用户或组“确定”，即可将其名称加入。

    2．设置权限

    当用户或组的名称加入以后“确定”，它们的名称就会出现在“安全”选项卡中。选中刚刚加入的这个用户或组的名称，在“访客的权限”下选中“读取”行和“允许”列交叉处的复选项（其它任何内容都不要选），单击“确定”按钮关闭对话框，则“访客”组或其中的用户就取得了“读取”（即“只读”）权限。以后该组的用户登录系统打开的文件均带有“（只读）”字样，他可以阅读文件但是不能修改文件，除非用其它文件名称另行保存。

    按照相同方法，系统管理员可以授予文件所有者“完全控制”权限，授予其它用户组以“读取和运行”权限等等。此后，即使本机的所有用户都能看到文件夹中的文件，但是不同用户使用或操作文件的权限却不一样。

    小提示：Word等软件也可以给文档设置只读属性，但是需要使用“另存为”命令逐个保存文档并输入密码，其操作效率远远不如上面介绍的方法高。而且上述方法不仅适用于各种Office文档，也适用于TXT和HTML等其它文件。既能用于文件夹中的一组文件，也能用于一个文件。

    文件访问“审核”

    如果我们需要知道哪些用户曾经打开了文档，可以为文件（文件夹）设置“审核”。如果想知道谁打开了“工作总结”文件夹，可以按以下步骤进行操作：

    1．设置“审核”项目

    仍然使用系统管理员身份登录系统，右击需要设置“审核”的文件或文件夹，打开“XX属性”对话框的安全选项卡，然后单击其中的“高级”按钮即可看到“审核”选项卡。如果需要“审核”某个用户（或组）访问文件（文件夹）的情况，就要单击其中的“添加”按钮打开“选择用户或组”对话框，按照上面介绍过的方法将用户（或组）添加到里面。“确定”之后就会弹出对话框设置“审核”项目了。假如你想知道该用户（或组）是否成功读取了文件，就应当选中“读取权限”行和“允许”列交叉处的复选项。按照相同原则，我们还可以选中更多的“审核”项目，完成后单击“确定”按钮关闭对话框。

    2．启用审核策略

    Windows XP默认设置没有启用“审核对象访问”，不能自动记录对文件或文件夹的访问。所以必须在“控制面板”中打开“本地安全设置”窗口，选中“本地策略”下的“审核策略”，右击右窗格中的“审核对象访问”，选择快捷菜单中的“属性”命令打开对话框。根据需要选中对话框“审核这些操作”下的“成功”或“失败”（建议两者都选），完成后单击“确定”按钮关闭对话框。在共享文件夹的安全策略的审核中添加对"Everyone"全部审核

    3．查看审核结果

    上述操作完成后，只须在“控制面板”中打开“本地安全设置”窗口，单击“事件查看器”打开窗口。选中左窗格中的“安全性”，即可在右窗格看到很多审核事件。右击其中任意—个事件，选择快捷菜单中的“属性”命令，打开对话框单击右上角的“↑”或“↓”按钮，就可以顺序查看各个事件的详细信息了，最终找到访问“工作总结”文件夹的用户名等结果。

    小提示：利用相同方法，我们还可以审核“账户管理”、“账户登录”等其它事件，及时发现非法使用电脑等危及系统安全的问题。

    通过以上三种设置方法的设置之后，谁访问什么文件夹都需要相信的操作权限才可以，每个针对文件夹的访问都会有详细的记录，完全可以实现共享文件的高效管理！